HAFNIUM

APT / EstatalG0125
OrigenChina
Técnicas (MITRE ATT&CK)44
FuenteMITRE ATT&CK
También conocido como:Operation Exchange MarauderSilk Typhoon

Análisis Vexday

HAFNIUM é um grupo de espionagem cibernética com provável patrocínio estatal, originário da China, ativo pelo menos desde janeiro de 2021 e rastreado pela MITRE ATT&CK sob o identificador G0125. O grupo — também referenciado como Operation Exchange Marauder e Silk Typhoon — tem como alvo prioritário entidades nos Estados Unidos em setores variados, incluindo pesquisa de doenças infecciosas, escritórios de advocacia, instituições de ensino superior, contratantes de defesa, centros de pesquisa em políticas públicas e ONGs. Entre as táticas documentadas, destaca-se o uso de ferramentas de gerenciamento remoto e software em nuvem para acesso inicial, além da capacidade demonstrada de operacionalizar rapidamente exploits para vulnerabilidades identificadas em dispositivos de borda — com 2 CVEs atribuídas e 44 técnicas ATT&CK mapeadas.

Técnicas (MITRE ATT&CK) 44

Cómo opera el grupo, mapeado por la matriz MITRE ATT&CK y organizado por las fases de un ataque.

Reconocimiento
Email AddressesGather Victim Network InformationIP AddressesClient ConfigurationsCode Repositories
Preparación de recursos
Virtual Private ServerBotnetWeb ServicesBotnet
Acceso inicial
Exploit Public-Facing ApplicationTrusted Relationship
Ejecución
PowerShellWindows Command Shell
Persistencia
Account ManipulationDomain AccountWeb Shell
Escalada de privilegios
Exploitation for Privilege Escalation
Acceso a credenciales
LSASS MemoryNTDSPassword SprayingCloud Secrets Management Stores
Descubrimiento
System Network Configuration DiscoveryInternet Connection DiscoveryRemote System DiscoverySystem Owner/User DiscoveryProcess DiscoveryFile and Directory Discovery
Movimiento lateral
Application Access Token
Recolección
Data from Local SystemRemote Email CollectionAutomated CollectionSharepointData from Cloud StorageArchive via Utility
Comando y control
Web ProtocolsNon-Application Layer ProtocolIngress Tool TransferStandard Encoding
Exfiltración
Exfiltration to Cloud Storage
defense-impairment
Clear Windows Event Logs
stealth
Local AccountsCloud AccountsRundll32Hidden Files and Directories

Vulnerabilidades explotadas 2

CVEs que este grupo es conocido por explotar, según MITRE ATT&CK. Ordenadas por gravedad real.

CVE-2014-7169CRITICALEPSS 100%KEVCVE-2016-6662EPSS 68%

El grupo HAFNIUM usa técnicas y explota fallas reales. El Pentest Autónomo con IA de TrueHacking simula esos ataques en tu infraestructura y aporta más seguridad a tu aplicación.

Conocer el Pentest Autónomo con IA →